汽車車身計算機中的安全性能

       背景


       開車是一件非常危險的事情。對于跳傘運動員來說，最危險的實際是開車從家到機場這段路程。2002 年，歐洲總共有46000 多人死于車禍。

      這個數(shù)字比這一地區(qū)的艾滋病、腦膜炎、吸毒、哮喘和暴力犯罪及火災的死亡總人數(shù)還要高1。


       政府對這一統(tǒng)計數(shù)字感到非常震驚，多年來一直試圖通過訴訟方式，改進這些車輛的安全狀況，預防其對公眾造成的傷害。自英國于1861 年第一次制定出每小時不超過10 英里2的速度限制，到美國最近制定胎壓監(jiān)測立法（這部法律將于2007 年8 月生效實施3），人類就從未停止旨在提高道路安全的努力。


       不僅僅是政府感到有義務改進車輛的安全性能，公眾也非常想購買更為安全的汽車。因此，汽車行業(yè)一直在朝這個方向努力。NCAP 最近的調查4顯示，安全性能是繼價格和功能之后，消費者在購買新車時最關心的問題。


        在NCAP 測試中達到4 星或4 星以上的安全性能評級，可以將嚴重或致命傷害的幾率減少30%5。這清晰地表明，消費者對更為安全的汽車功能的需求日益增加，并且這些安全功能在挽救生命方面也變得越來越有效。第一輛在NCAP 安全標準中獲得5 星的汽車是2001 年3 月生產(chǎn)的雷諾Laguna6，其它汽車的安全標準也接近5 星，這表明不但乘客和司機的安全保護得到較大提高，行人的安全也有了保障。


        所面臨的問題


       隨著當今生產(chǎn)的汽車越來越多地加入電子元器件，很顯然，這些系統(tǒng)的安全也變得越來越重要。飛機早在幾年前就開始使用“線控飛行”系統(tǒng)，但它目前還沒有遇到汽車行業(yè)所面臨的價格壓力。一些航空系統(tǒng)經(jīng)常使用系統(tǒng)的冗余性，對一些特定系統(tǒng)，有時甚至達到了“四倍冗余” 7。汽車行業(yè)向自己發(fā)出挑戰(zhàn)，它必須在不增加汽車成本的情況下達到類似的水平。現(xiàn)在，該是一級制造商及其供應商提出創(chuàng)新解決方案，以極具競爭力的價格解決重要的安全問題的時候了。


      SIL 水平


       1998 年，IEC 發(fā)布了61508 標準。該標準中包含一些如何把電子系統(tǒng)中的故障降到最低限度的要求。它給出了系統(tǒng)完整性或其“SIL”水平的幾個定義。根據(jù)每小時出現(xiàn)的危險故障的幾率，可以對應用和系統(tǒng)進行如下分類：



      1 FIT (Failure In Time)就相當于每小時的危險故障幾率為10-9，因此，完整的系統(tǒng)必須在設備的安全預算內，其中，F(xiàn)IT 的總累積數(shù)就是SIL 水平的描述。


        決定應用要求的SIL 水平絕不是一件簡單的工作。很顯然，飛機的關鍵系統(tǒng)至少需要符合SIL3，在有些情況下甚至要求SIL4。在汽車中，它表現(xiàn)得沒這么明顯。但有很多這樣的例子，如線控轉向或線控制動等，它們明顯都要求這樣的高水平。系統(tǒng)還提供幾種工具，用于分析系統(tǒng)所需的SIL 水平。

        本文無意為不同的系統(tǒng)分配不同的SIL 要求，只是說明當今的汽車中有幾個必須認真考慮的關鍵的安全系統(tǒng)。


        很明顯，汽車的操縱和制動系統(tǒng)最為重要。但是，汽車的照明系統(tǒng)或風擋刮水器的重要程度如何呢？在雨天，什么樣的FIT 水平是系統(tǒng)控制風擋刮水器所能接受的呢？哪些系統(tǒng)“與安全有關”已越來越不成問題，越來越多的問題是，還有沒有不安全的系統(tǒng)。


       當今汽車中的大多數(shù)系統(tǒng)都連接在CAN 總線或LIN 子總線上。這就帶來了進一步的問題：在一些非關鍵應用（如GPS）上的任何錯誤如何能夠傳播到另外一個系統(tǒng)（如車門模塊）或另一個關鍵應用上。是不是車內的每個系統(tǒng)都應該最少有SIL2 級？可以肯定的是，隨著車身計算機融入了越來越多的功能，對這些應用的SIL 評級的關注也將變得更為強烈。市場上有OEM 將方向盤鎖融入網(wǎng)關或BCU 的事例。很顯然，如果方向盤由于系統(tǒng)故障而被鎖住，那么造成的結果就可能是災難性的，這就導致某些BCU 系統(tǒng)要求SIL3 的狀態(tài)。


       軟件是誰寫的？


       在目前的環(huán)境中，應用開發(fā)人員面臨的另一個問題就是軟件開發(fā)問題。自從軟件不再是由一個團隊而是由來自幾家不同公司的幾個團隊編寫的以來，這個問4題就一直存在。CAN 驅動軟件可能來自一家廠商，新運算法則可能來自于另外一家專業(yè)公司，而特定標準應用的算法可能又由OEM 和/或一級供應商編寫。有了這些來自不同來源的混合軟件，OEM 日益密切關注這些問題就不足為奇了。


        事實證明，軟件缺陷也越來越成為一個重要問題。2000年，Marcus和Stern就已經(jīng)指出，40%的系統(tǒng)故障都是由軟件缺陷引起的8。隨著軟件復雜性的增加以及軟件供應商數(shù)量的增長，軟件缺陷將來肯定會成為更為重要的問題。


        飛思卡爾的先進產(chǎn)品新的飛思卡爾S12X 產(chǎn)品系列提供了眾多新一代汽車車身計算機所要求的功能。在為現(xiàn)有解決方案提供一條降低成本的路徑的同時，還為未來的BCU 提供了眾多優(yōu)勢。


      S12X 系列具有減輕故障向系統(tǒng)中的其它設備擴散的功能。其時鐘監(jiān)控和電壓監(jiān)控功能得到了極大的改進，因此可以快速有效地響應系統(tǒng)中的故障。這些功能允許微控制器監(jiān)測振蕩器的問題，并代以從內部時鐘運行。這不但消除了對另一個時鐘的需要，還使微控制器能連續(xù)監(jiān)控振蕩器，把振蕩器從“安全”狀態(tài)恢復到“正?！睜顟B(tài)。


      對來自多家廠商的軟件包的擔心還可以通過系統(tǒng)對MPU 的應用而得到緩解。


      MPU 可以預防軟件應用程序中的系統(tǒng)錯誤，有助于確保它們只能看、讀和寫到手頭中任務的特定存儲位置。S12XE 中令人印象最深的改進可能就是Xgate 了。這顆很小的協(xié)處理器運行在完全不同于S12X 核心的指令集上。它的運行獨立于CPU，此外，它還非常靈活，配置后可以開展多種不同的活動，如額外的內部看門狗，從而有利地補充8 E. Marcus and H. Stern. Blueprints for high availability: Designing Resilient Distributed Systems.5了已經(jīng)投入使用的計算機正常運行 (COP)模塊。它還可以在配置后運行與CPU一樣的算法（或不同的版本），從而確保算法的正確執(zhí)行，在無需任何其它組件的情況下提供設備的冗余性檢查。


      Xgate 是一個全能型解決方案，它也可以進行配置，以運行“非關鍵的”應用程序，允許CPU 只處理一些“關鍵”任務，因此提高了對系統(tǒng)中的其它部分的錯誤的響應速度。


      S12XE 系列的詳細資料有望于2006 年中期在產(chǎn)品正式推向市場后，從您當?shù)氐娘w思卡爾經(jīng)銷商那里獲得。


      結論


      標準的出現(xiàn)是為了滿足日益復雜的電子系統(tǒng)的要求。新的IEC61508 標準非常有助于為這些要求提供更為嚴格的背景。隨著汽車OEM 努力在降低成本的同時改進質量和安全性，就不再是只將制動和操縱系統(tǒng)之類的系統(tǒng)置于這些標準的監(jiān)管之下了。


       安全問題正越來越多地成為人們討論的熱點，即使是在汽車的車身領域也不例外。飛思卡爾一直致力于提供高性能、經(jīng)濟高效、非常適合于車身計算機市場的器件。毫無疑問，于2006 年中期推向市場的S12XE 系列新產(chǎn)品，將促使飛思卡爾在這一競爭市場居于前沿地位。